Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das IT-Produkt stepnova in der Version 4. im Auftrag der ergovia GmbH

Größe: px
Ab Seite anzeigen:

Download "Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das IT-Produkt stepnova in der Version 4. im Auftrag der ergovia GmbH"

Transkript

1 Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das IT-Produkt stepnova in der Version 4 im Auftrag der ergovia GmbH datenschutz cert GmbH 19. September

2 Inhaltsverzeichnis 1. Vorbemerkung 3 2. Zeitraum der Prüfung 3 3. Antragstellerin 3 4. Sachverständiger/Prüfstelle 3 5. Kurzbezeichnung des IT-Produkts 3 6. Beschreibung des IT-Produkts 3 7. Tools, die zur Herstellung des Produkts verwendet wurden 4 8. Zweck und Einsatzbereich 4 9. Modellierung des Datenflusses Version des Anforderungskatalogs Zusammenfassung der Prüfergebnisse Datensparsamkeit Sperrung, Löschung, Anonymisierung, Pseudonymisierung Transparenz Zulässigkeit der Datenverarbeitung Zweckbindung, Trennungsgebot Auftragsdatenverarbeitung Authentizität, Integrität und Vertraulichkeit Verfügbarkeit Vorabkontrolle, Verfahrensverzeichnis, Datenschutzbeauftragter Pflichten nach DSVO Datenschutzrechte der Betroffenen Gesamtbewertung im Überblick Beschreibung, wie das IT-Produkt den Datenschutz fördert Votum der Auditoren 21 Seite 2 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

3 1. Vorbemerkung Mit diesem Kurzgutachten werden die Ergebnisse der Auditierung des IT-Produkts stepnova in der Version 4 gemäß Datenschutzgütesiegelverordnung (DSGSVO) 1 zusammengefasst. 2. Zeitraum der Prüfung Die Auditierung erstreckte sich auf den Zeitraum von bis und beinhaltete eine konzeptionelle Analyse der zur Verfügung gestellten Unterlagen sowie Besichtigungen des Testsystems, zuletzt in der Patch-Version Darüber hinaus sind die Webseiten und der Authentifizierungsvorgang getestet worden. 3. Antragstellerin Antragstellerin dieses Gutachtens ist die ergovia GmbH Knooper Weg Kiel. Ansprechpartnerin ist Frau Silke Buschtöns. 4. Sachverständiger/Prüfstelle Sachverständige dieses Gutachtens ist die Prüfstelle datenschutz cert GmbH Konsul-Smidt-Str. 88a Bremen unter der Leitung von Herrn Dr. Sönke Maseberg (Technik) und Frau Irene Karper (Recht). Ansprechpartner für diese Begutachtung sind Frau Dr. Irene Karper (Recht) und Herr Ralf von Rahden (Technik). 5. Kurzbezeichnung des IT-Produkts Begutachtet wird stepnova in der Version 4. Es umfasst die Produktvarianten: --- stepnova Professional Edition, --- stepnova Basic Edition, --- stepnova Starter Edition, --- stepfolio. 6. Beschreibung des IT-Produkts stepnova ist ein webbasierendes Datenbanksystem zur Organisation im Bildungssektor. Das System ist online unter der URL https://www.stepnova.net 2 bzw. https://stepfolio.net erreichbar. Der Login für Anwender erfolgt unter https://www.stepnova.net/login.do bzw. https://stepfolio.net/login.do. 1 Landesverordnung über ein Datenschutzgütesiegel (Datenschutzgütesiegelverordnung DSGSVO) v , GVOBl. Schl.-H. 2013, S.536ff. 2 Alle genannten Webseiten-Referenzen waren zum Abschluss des Audits im September online erreichbar. Seite 3 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

4 Informationen und Handbücher sind ferner unter https://kundenportal.ergovia.de/ abrufbar. stepnova ist eine Fortentwicklung des Produktes STEP!basis, welches zuletzt im Jahre 2003 von der Prüfstelle datenschutz nord GmbH auditiert und gemäß DSAVO zertifiziert wurde Tools, die zur Herstellung des Produkts verwendet wurden Es wurden keine datenschutz-relevanten Tools eingesetzt. 8. Zweck und Einsatzbereich stepnova Professional, stepnova Basic und stepnova Starter Edition unterstützen Maßnahmen der beruflichen Bildung. Sie werden bei der elektronischen Maßnahmeabwicklung der Bundesagentur für Arbeit sowie für Jobcentermaßnahmen (z.b. für die berufliche Weiterbildung) und von Bildungseinrichtungen eingesetzt. Mit stepfolio erfolgt die Verwaltung und Dokumentation in Kindertagesstätten. Im Hauptmenü sind Arbeitsbereiche, Bereiche und Editoren erreichbar. Abbildung 1: Hauptmenü am Beispiel stepnova Professional Edition 3 Das Zertifikat des Unabhängigen Landeszentrums für Datenschutz wurde unter der Nummer 7-10/2003 erteilt und war befristet bis Damals firmierte die ergovia GmbH noch unter dem Namen ergo!via GmbH. Seite 4 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

5 Alle Produktvarianten sind Varianten desselben technischen Systems, welche für den Anwender auf verschiedene Anwendungsbereiche (AB), Bereiche (B) und Editor-- Funktionen (E) zugeschnitten ist. Welche Funktionen welcher Variante zugeordnet sind, ergibt sich aus folgender Abbildung (Hinweis: x = verfügbar): Abbildung 2: Übersicht Produktvarianten + Funktionsumfang Ferner gibt es übergreifend die Module Anonymisierung und Abrechnung. Im Arbeitsbereich Anwesenheit erfolgt die Dokumentation der Anwesenheit von Teilnehmern. Im Arbeitsbereich Beratung können Gesprächsdokumentation verwaltet werden. Im Arbeitsbereich Beruf werden Daten zu betrieblichen Arbeitsverhältnissen, Bewerbungsaktivitäten der Teilnehmer und Vermerke erfasst. Im Arbeitsbereich der elektronischen Maßnahmeabwicklung erfolgt die Kommunikation. Der Arbeitsbereich Förderplanung (FöP/LuV) ermöglicht eine Planung von Fördermaßnahmen bzw. eine Leistungs- und Verhaltensbeurteilung. Hier werden u.a. Kompetenzen, Maßnahmenziele, Verlauf oder Kurspläne dokumentiert. Dies dient als Grundlage der Seite 5 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

6 Ferner kann ein individueller Arbeitsbereich ( Individuell ) nach den Anforderungen des Anwenders eingerichtet werden (z.b. Formulare). Im Arbeitsbereich Portfolio können Entwicklungsstände dokumentiert werden, z.b. anhand von Fotos oder über in Fortbildungen erlernte Fähigkeiten. Hervorzuheben ist, dass die Einbindung von Fotos nicht zum Standardumfang des Produktes gehört und optional hinzugebucht werden kann. Zudem wird der Anwender in einem eigens für Datenschutzhinweise entwickelten [Datenschutzhinweisblatt] auf den rechtskonformen Umgang mit Personenfotos und eine strenge Prüfung zur Freischaltung dieses Moduls sensibilisiert. Es enthält z.b. auch einen Hinweis, dass Fotos nicht unerwünscht zu Clouddiensten hochgeladen werden. Im Arbeitsbereich Qualifizierung werden Teilnahmen an Unterrichtseinheiten, Kursen oder Modulen eines Teilnehmers erfasst. Bei Teilnehmerdaten sind neben Stammdaten u.a. schulische und berufliche Daten über Zeugnisse, Lebenslauf, Sprachkenntnisse und Hobbys, Maßnahmen, Maßnahme- bzw. Kursgruppen, Ein- und Austritte, Angaben zu Kindern, Religionszugehörigkeit und Bankdaten sowie Angaben zu Personen, welche diesen Teilnehmer betreuen (im Sinne von Maßnahmencoaching) hinterlegt. Im Bereich Administration können Standortstruktur (Abteilungen, Fachbereiche) nachgebildet und die Subadministrationen eingerichtet werden (also z.b. weitere Administratoren oder Administratoren, welche nur eingeschränkte Administrationsrechte besitzen). Ferner können Benutzerprofile, Bedienoberflächen und Wertvorgaben für Felder verwaltet werden. Im Bereich Abrechnung erfolgt die Einrichtung und Abrechnung teilnehmerbezogener Kosten (z.b. Maßnahmevergütungen, Verpflegungsgeld). Im Bereich Anonymisierung kann der Administrator des Anwenders Teilnehmerdatensätze löschen. Werte, die für eine spätere statistische Auswertung hilfreich sind, werden im Bereich Anonymisierungsdaten als Liste ohne Teilnehmerbezug dargestellt. Der Zeitpunkt der Anonymisierung richtet sich dabei nach dem Maßnahmeende der Teilnehmer. Der Bereich Ausgabe befinden sich Ausgabemöglichkeiten als Reports. Der Bereich Dokumentarchiv dient der Dokumentarchivierung und versionierung. Hier können z.b. Berichte als Freitext erstellt und hinterlegt werden. Der Bereich Kontaktarchiv können Kontaktdaten verwaltet und gepflegt werden. Im Bereich Nachrichten werden Nachrichten und automatische Erinnerungen für den mit der Arbeitsagentur angelegt und verwaltet. Im Bereich Personaldaten werden die Grunddaten für das Personal des Anwenders hinterlegt. Hier können auch Berechtigungen gepflegt werden. Im Bereich Suche können Informationssuchen vorgenommen werden. Auch hier greift das Berechtigungs- und Rollenkonzept, so dass nur Treffer nach der entsprechenden Berechtigung angezeigt werden. Seite 6 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

7 Im Bereich Vermerke können zu den Teilnehmern Vermerke erstellt werden. Die Vermerke können nur für den jeweils erstellenden Anwender oder eine Gruppe von berechtigten Personen zugänglich gemacht werden. stepnova verfügt schließlich über Editoren, welche dem Anwender ermöglichen, individuelle Anpassungen und Erweiterungen für die Datenbank vorzunehmen. Hierzu gehört etwa die Erstellung von Druck- und Formularvorlagen oder das Anlegen von Gruppen. Auch eine Raum- und Hardwareplanung ist möglich. stepnova verfügt über ein abgestuftes Rollen- und Berechtigungskonzept. Für den Benutzer können die Rechte genau zugeschnitten werden. Die Zugriffberechtigung wird über die integrierte Benutzerverwaltung (wie für alle anderen Menüpunkte und Datenfelder auch) restriktiv behandelt. Hierdurch wird ausgeschlossen, dass unberechtigte Personen Kenntnis von den dort vermerkten Daten erhalten. Dazu gibt es ein Formular, in dem die benötigten Rechte (Lesen, Neueintrag, Bearbeiten, Löschen) für Arbeitsbereiche, Bereiche und Editoren einzeln ausgewählt werden können. Es gibt zwei Administratoren-Rollen bei der ergovia GmbH: Den Administrator und den Support. Ersterer hat Vollzugriff auf alle Systeme, letzterer hat nur Zugriff auf den Tomcat-Dienst (dazu sogleich). stepnova besteht aus den folgenden Komponenten: --- Webserver (Apache) --- Tomcatserver --- Datenbankserver (Postgres) --- Jumpserver --- Docserver. Der Webserver nimmt Anfragen des Clients entgegen und leitet diese im internen Netz an die Tomcatserver weiter. Ferner terminiert er das SSL und das LoadBalancing auf die Tomcatserver. Ein weiterer Webserver liefert statische Seiteninhalte aus. Der Tomcatserver führt die Applikationslogik aus, beschafft und verarbeitet die Daten und bereitet diese für die Anzeige auf. Im Datenbankserver befindet sich die Postgresql-Datenbank. Der Jumpserver wird als administrative Schnittstelle genutzt. Der Zugriff erfolgt mit SSH-Zertifikatsauthentisierung. Die RSA-Schlüssel haben eine Länge von 2048 bit. Der DocServer nimmt Dokumente in beliebigem Format per HTTP entgegen und legt diese im Dateisystem ab. Ferner gibt er Dokumente auf Anfrage heraus. Die Daten werden dabei getrennt nach Mandantennummer aufbewahrt. Die ergovia GmbH aus Kiel ist Hersteller und Anbieter von stepnova. Das Unternehmen führt im Auftrag der Anwender Updates sowie durch und hostet das System in einem unterbeauftragten Rechenzentrum. Die ergovia GmbH wird insofern als Auftragsdatenverarbeiter für den Anwender tätig. Seite 7 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

8 Die NetUSE AG aus Kiel ist seitens der ergovia GmbH mit dem Housing und Hosting der Systeme von stepnova in einem Rechenzentrum in Kiel beauftragt. Die NetUSE AG wird als Unterauftragsdatenverarbeiter tätig. Die ergovia GmbH wird bei der Wartung des Systems zudem durch den Dienstleister Markus Manzke MARE System (kurz MARE System) aus Kiel unterstützt. MARE System übernimmt die Wartung der Online-Server und ist für den Empfang und die Reaktion auf Nagios Alarme sowie den Check auf Updates der SLES-/ Debian-Server- Bewertung (asap einspielen) zuständig und bietet in diesem Zusammenhang den 2nd Level Support an. MARE System ist ebenfalls Unterauftragsdatenverarbeiter. 9. Modellierung des Datenflusses Die folgende Abbildung illustriert die Komponenten und den Datenfluss von stepnova: Seite 8 Kurzgutachten zur Erteilung eines Datenschutz-Gütesiegels für das IT-Produkt stepnova in der Version 4:19. September

9 Abbildung 1: Datenfluss

10 10. Version des Anforderungskatalogs Basis der Auditierung ist der Anforderungskatalog in der Version Zusammenfassung der Prüfergebnisse stepnova setzt die rechtlichen und technischen Anforderungen vollumfänglich um Datensparsamkeit Aspekte der Datensparsamkeit im Sinne des 3a BDSG bzw. 78b SGB X sowie landesgesetzlicher Vorschriften werden im vollen Umfang erfüllt, indem nur solche Daten verarbeitet werden, die für die Erbringung der Leistung erforderlich sind. Zwar können mithilfe von stepnova umfassend personenbezogene Daten erfasst und verarbeitet werden. Dies ist allerdings den Anforderungen der Leistungsträger und Arbeitsagenturen bzw. der Versorgung der Kinder in den KiTas und den gesetzlichen Berichts- und Dokumentationspflichten geschuldet. Hinsichtlich der Befüllung von Freitextfeldern wird der Anwender zudem durch die Dokumentation [Hinweise_Freitextfelder] auf den datensparsamen und zweckgebundenen Umgang senibilisiert. Das mittels stepnova realisierbare abgestufte Berechtigungskonzept sorgt für einen engen Kreis der Zugriffsberechtigten auf die relevanten Datensätze. Personenbeziehbare Protokolldaten werden soweit wie möglich vermieden. Die Nutzung von stepnova erfolgt über einen Netzwerkanschluss einer Einrichtung, so dass die IP-Adresse nicht auf einzelne Benutzer zurückzuführen ist, sondern nur auf eine juristische Person. Logs, in denen der Benutzername protokolliert wird, wie etwa stepnova_ldap.log oder stepnova_session.log, werden spätestens nach 7 Tagen gelöscht. Das stepnova.log wird aus vertraglichen Verpflichtungen gegenüber dem Anwender 180 Tage gespeichert. Die personenbezogenen Daten in diesem Log betreffen nur Anwender und keine Teilnehmerdaten. Einziges Log, in dem bei Erhöhung des Detaillierungsgrads auf Grund einer Fehlersuche auch personenbezogene Teilnehmerdaten enthalten sein können, ist postgresql84- ***.log auf dem Datenbank-Server. Zugriff haben ausschließlich berechtigte Mitarbeiter der ergovia GmbH. In der Regel ist der Detailgrad niedrig, so dass keine Primärdaten enthalten sind. Das Log wird 14 Tage gespeichert, da die Auswertung für Optimierungszwecke benötigt wird. Dies ist aus Sicht der Auditoren noch tolerabel, da Primärdaten nur bei Auftreten von Fehlern mitgelogged werden und zu dessen Nachvollziehbarkeit erforderlich sind Sperrung, Löschung, Anonymisierung, Pseudonymisierung stepnova stellt in adäquater Weise Mittel zur Sperrung, Löschung, Anonymisierung und Pseudonymisierung zur Verfügung. Eine Sperrung oder Löschung von Teilnehmerdaten kann durch den dazu berechtigten Anwender erfolgen. Durch deine Anonymisierungsfunktion werden Teilnehmerdaten der zudem vertragsbezogen automatisch nach 24 Monaten gelöscht. Teilnehmerdaten können anhand vertraglicher Regelungen gelöscht werden, indem der Anwender im Teilnehmerdatensatz Fristen definiert.

11 Durch das Zusammenspiel der Löschfunktionen für Maßnahmegruppen und einem eng definierbaren Berechtigungskonzept werden auch Maßnahmen der Pseudonymisierung gefördert. So können Teilnehmerdaten aus einer Maßnahmegruppe gelöscht werden und bleiben als Stammdatensatz für andere Maßnahmen erhalten, so dass sie nur mit größerem Aufwand durch berechtigte Personen als Pseudonym wieder einer Person zugeordnet werden könnten. stepnova unterstützt den Anwender ferner hinsichtlich der Löschung, Sperrung und Anonymisierung sowie Pseudonymisierung, indem er im [Datenschutzhinweisblatt] auf diese Grundsätze sensibilisiert wird Transparenz Die Produktdokumentationen sind verständlich und aussagekräftig; Datenfluss, Zugriff und Verarbeitung personenbezogener Daten werden transparent dargelegt. Die Webseiten (https://www.stepnova.net und https://stepfolio.net/login.do) halten die Vorgaben des Telemedienrechts ein, indem Impressum und Datenschutzerklärung leicht abrufbar und inhaltlich korrekt sind. Die IP-Adresse wird nach Aussage der ergovia GmbH und der dortigen Datenschutzerklärung für maximal 24h gespeichert, um Angriffe abwehren zu können. Anschließend wird die IP um die letzten beiden Oktette verkürzt und damit anonymisiert. gehört nicht zum Auditgegenstand. Zwar finden sich hier Informationen zu den Produkten der ergovia GmbH und damit auch zu stepnova. Allerdings ist kein Loginbereich vorhanden. Daher sei nur ergänzend erwähnt, dass diese Webseiten die Anforderungen der Datenschutzaufsichtsbehörden an eine Reichweitenmessung 4 umsetzen, indem eine Information zur Datenerfassung vorhanden ist und eine Widerspruchsmöglichkeit dargeboten wird. Ferner wurde ein Vertrag zur Auftragsdatenverarbeitung diesbezüglich abgeschlossen Zulässigkeit der Datenverarbeitung Teilnehmer-Stammdaten Die Erhebung, Speicherung und Nutzung von Sozialdaten ist gemäß der 67a - c SGB X zulässig, wenn diese zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden gesetzlichen Aufgaben nach dem Sozialgesetzbuch erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ergänzt wird dies durch die für das Sozialrecht geltende Mitwirkungspflicht des Leistungsempfängers nach 60 Abs. 1 SGB und die besondere Mitwirkungspflicht für Teilnehmer an beruflichen Weiterbildungen gemäß 318 SGB III. Die Leistungsempfänger haben danach alle Tatsachen anzugeben, die für die Leistung erheblich sind. Darüber hinaus besteht die Pflicht, Änderungen mitzuteilen sowie auf Nachfrage des Leistungsträgers aussagefähige Beweismittel vorzulegen ( 60 Abs. 1 Ziff SGB I). 4 Z.B. die Hinweise des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom März 2013, Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen, abrufbar unter oder ähnlich das Bayerische Landesamt für Datenschutzaufsicht, dessen Hinweise abrufbar sind unter Seite 11

12 Ferner müssen Teilnehmer der Erteilung der erforderlichen Auskünfte durch Dritte zuzustimmen. Die Verarbeitung der Teilnehmerstammdaten erfolgt in stepnova Professional, stepnova Basic und stepnova Starter zudem zu arbeitsvertraglichen und steuerrechtlichen Abrechnungszwecken, für die u.a. Konfession und Familienstand eines Teilnehmers erforderlich sind. Dieses Konstrukt ineinander greifender allgemeiner und - für den Bereich der Arbeitsförderung - spezieller Zulässigkeitsregelungen erlaubt die Erhebung, Verarbeitung und Nutzung aller Stammdaten. Der Anwender kann ferner zusätzliche Angaben erfassen und verarbeiten. Hierbei handelt es sich um Daten, die für die Durchführung und Verwaltung der Maßnahme bzw. des Teilnehmers vor einem vertraglichen Hintergrund notwendig sein können (z.b. Bankverbindungsdaten) oder welche Voraussetzung für eine Maßnahmenteilnahme sind (z.b. Sprachkenntnisse). Angaben über Lebenslauf, Noten, Laufbahn, beruflicher Werdegang und berufliche Interessen, Zusatzqualifikationen, Sprachkenntnisse sowie Hobbys und Merkmale können ferner für Bewerbungsverfahren eingesetzt werden. stepnova unterstützt die Einhaltung der Rechtsgrundlagen, indem der Anwender im [Datenschutzhinweisblatt] sensibilisiert wird, das Erfordernis der Datenverarbeitung und die Rechtsgrundlage zu prüfen. Der Anwender wird dabei auch auf die Verarbeitung von besonderen personenbezogenen Daten sensibilisiert: Werden besonders sensitive Daten, wie z.b. Angaben über Konfession oder Gesundheit gespeichert, gelten zudem besondere Datenschutzbestimmungen. stepnova unterstützt Sie bei der Erfüllung der Anforderungen durch eine rechtskonforme Datenverarbeitung. Bitte beachten Sie, dass die Erfassung und Verarbeitung von besonderen personenbezogenen Daten oftmals eine freiwillige, nachweisbare und jederzeit widerrufliche Einwilligung des Betroffenen (bzw. bei Minderjährigen i.d.r. durch die Erziehungsberechtigten) erfordert. Dies kann z.b. bei Dokumentationen über Gesundheitszustand, Handicaps oder Personenfotos der Fall sein. Auch bei der Erfassung und Verarbeitung von Angaben wie Konfession, Familienstand, Hobbys oder Angaben über Kinder von teilnehmenden Personen darf deren Erfassung und Verarbeitung nur in begründeten Ausnahmefällen erfolgen. Die Erfassung von Personenfotos ist nicht Teil der Standardausführung von stepnova und stepfolio ist. Das Modul kann optional freigeschaltet werden, wenn dies Ihr Wunsch ist. Bitte beachten Sie, dass für die Nutzung des Mo-duls eine eingehende Zulässigkeitsprüfung der Erfassung und Verwendung von Personenfotos durch die verantwortliche Stelle notwendig ist. Sofern Sie Fotos direkt mit dem Tablet oder Smartphone aufnehmen, achten Sie bitte auf die im System vorgegebenen Datenschutzmaßnahmen zur Vermeidung von unerwünschten App-Zugriffen und vermeiden Sie, dass Personenfotos zu Clouddiensten hochgeladen werden. Seite 12

13 Rechtsgrundlage für die Übermittlung der Leistungs- und Verhaltensbeurteilung im Rahmen von ist 318 Abs. 2 SGB III. Diese beinhaltet die Beurteilung der Leistung und des Verhaltens des Teilnehmers sowie Anwesenheitsdaten. Diese sind vom Anwender für jeden Teilnehmer anlassbezogen zu erstellen und standardisiert an die Agentur für Arbeit zu übermitteln5. Gemäß 67d Abs. 1 i.v.m. 69 Abs. 1 Nr. 1 SGB X ist eine Übermittlung von Sozialdaten zudem zulässig, soweit sie erforderlich ist, für die Erfüllung der Zwecke, für die sie erhoben worden sind oder für die Erfüllung einer gesetzlichen Aufgabe der übermittelnden Stelle nach diesem Gesetzbuch oder einer solchen Aufgabe des Dritten, an den die Daten übermittelt werden, wenn er eine in 35 des Ersten Buches genannte Stelle ist. Die Übermittlung von Sozialdaten an die Agentur für Arbeit lässt sich ferner über 69 Abs. 1 Nr. 1 Alt. 1 SGB X rechtfertigen. Eine Ausnahme hiervon sieht indes 76 Abs. 2 Nr. 1 SGB X für Sozialdaten vor, die bei Begutachtung wegen der Erbringung von Sozialleistungen oder wegen der Ausstellung einer Bescheinigung übermittelt werden, es sei denn, dass der Betroffene der Übermittlung widerspricht; der Betroffene ist von der verantwortlichen Stelle zu Beginn des Verwaltungsverfahrens schriftlich auf das Widerspruchsrecht hinzuweisen. Im stepnova Arbeitsbereich kann daher anhand einer Checkbox vermerkt werden, ob eine Einwilligung bzw. ein Widerspruch gegen eine Datenübermittlung vorliegt oder nicht. stepfolio Kindertagesstätten dürfen personenbezogene Daten gemäß 24 SGB VIII verarbeiten, um Kindern den Besuch einer Tageseinrichtung zu ermöglichen. Landesspezifische Regelungen, wie der 12 des Nordrhein-Westfälischen KiBiz 6, ergänzen die Rechtsgrundlagen einer Datenerfassung und Verarbeitung: Danach darf der Anwender Name und Vorname des Kindes, Geburtsdatum, Geschlecht, Staatsangehörigkeit, Familiensprache, Namen, Vornamen und Anschriften der Eltern sowie weitere kindbezogenen Daten, die zur Erfüllung seiner Aufgaben nach diesem Gesetz erforderlich sind, erheben und speichern. In Schleswig-Holstein ist das Gesetz zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen (Kindertagesstättengesetz - KiTaG)7 anwendbar. Dieses sieht bis auf 5 Abs. 6 KiTaG im Rahmen der Entwicklungsbestandserfassung von Kindern im Rahmen der Zusammenarbeit von Kindertagesstätten mit Schulen keine speziellen Regelungen für die Datenverarbeitung vor, so dass hier die allgemeinen Bestimmungen des LDSG S-H für Träger der öffentlichen Hand bzw. das BDSG für private Träger anwendbar sind. 5 Vgl. hierzu auch die Hinweise der Agentur für Arbeit unter Qualifizierung/A052-Arbeitnehmer/Publikation/pdf/eMaw-fachliches-Infopaket.pdf, Abschnitt Artikel 3 des Gesetzes zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz - KiBiz) - Viertes Gesetz zur Ausführung des Kinder- und Jugendhilfegesetzes - SGB VIII - vom 30. Oktober 2007 (GV. NRW. S. 462). 7 Gesetz zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen (Kindertagesstättengesetz - KiTaG) v (GVOBl. Schl.-H 1991, S. 651), zuletzt geändert durch Gesetz v (GVOBL. Schl.-H 2013, S. 466). Seite 13

14 Soweit in stepfolio besondere personenbezogene Daten verarbeitet werden, ist dies gemäß 11 Abs. 3 Nr. 1 LDSG S-H zulässig, sofern hierfür eine Einwilligung des Betroffenen vorliegt. Ist der Betroffene unter 12 Jahren oder minderjährig und nicht einsichtsfähig, ist eine Einwilligung der Erziehungsberechtigten einzuholen. Auch hier wird der Anwender durch das [Datenschutzhinweisblatt] sensibilisiert (vgl. den Text dazu oben). Beurteilungen, Entwicklungsstände, Leistungsdaten 93 Abs. 3 i.v.m. 318 Abs. 2 letzter Halbsatz SGB III normierten die Pflicht des Leistungsträgers, dem Arbeitsamt Beurteilungen über den Erfolg der Maßnahme zu übermitteln. Ebenfalls zulässig ist die Verarbeitung von Daten, durch die leistungsrechtlich erheblichen Sachverhalte dokumentiert werden, also alle maßnahmebegleitenden Daten, die unmittelbar etwas über den Erfolg der Maßnahme aussagen. Diese Daten werden neben dem Arbeitsbereich vor allem in den Arbeitsbereichen LuV, Beratung und Portfolio verarbeitet. Im Einsatzbereich von stepfolio können Entwicklungsstände und Förderungen gemäß 5 Abs. 6 Satz 3 und 4 des Gesetzes zur Förderung von Kindern in Tageseinrichtungen und Tagespflegestellen erfasst und verarbeitet werden, wobei allgemeine datenschutzrechtliche Bestimmungen des LDSG S-H für Träger der öffentlichen Hand bzw. das BDSG für private Träger zur Anwendung kommen. Dabei kann die Dokumentation über Fortschritte und Entwicklungen in stepnova auch als Foto der Person hinterlegt werden. Diese Funktion kommt vornehmlich bei stepfolio zum Einsatz, indem dort KiTas Kinderfotos hinterlegen können. Bei Namensähnlichkeiten von Kindern dient dies oft auch als Unterscheidung für die Erzieher. Die Personenfotos werden nur einem kleinen berechtigten Kreis zur Einsicht zur Verfügung gestellt und nicht veröffentlicht, so dass das Kunsturhebergesetz keine Anwendung findet. Gleichwohl kann eine Einwilligung (der Erziehungsberechtigten) erforderlich sein. Hervorzuheben ist, dass es sich bei der Funktion zur Erfassung und Verarbeitung von Kinderfotos um ein optionales Modul handelt, welches nicht in der Standardausführung des Produkts enthalten ist. Zudem wird der Anwender im [Datenschutzhinweisblatt] auf den rechtskonformen Umgang mit Personenfotos und eine strenge Prüfung zur Freischaltung des Moduls sensibilisiert. Zusätzlich enthält das [Datenschutzhinweisblatt] noch einen Hinweis darauf, dass schon bei der Erstellung der Fotos darauf geachtet werden muss, dass diese nicht unerwünscht zu Clouddiensten hochgeladen werden (siehe den oben dazu aufgeführten Text des Hinweisblattes). Besondere personenbezogene Daten Soweit Daten über den Gesundheitszustand, eine Behinderung oder die Konfession aufgenommen werden, handelt es sich um besondere Daten gemäß 67 Abs. 12 SGB X bzw. 3 Abs. 9 BDSG / 11 Abs. 3 LDSG S-H. Die Zulässigkeit der Datenverarbeitung ergibt sich ausnahmsweise - aus 67a Abs. 1 SGB X, denn für die erfolgreiche Vermittlung von Teilnehmern an Betriebe muss der Vermittelnde vorab darüber Kenntnis haben, ob der Betreffende ohne jegliche Einschränkung beruflich einsetzbar ist oder ob gesundheitliche Einschränkungen bestehen, die eine Einsetzbarkeit Seite 14

15 verhindern. Dies lässt sich vom Umfeld der beruflichen Bildungsmaßnahmen auch auf den Betrieb von Kindertagesstätten übertragen. Hier ist bei kirchlich organisierten Betrieben die Konfession für eine Zuordnung relevant. Ferner müssen Erzieher und Betreuer Kenntnisse über den Gesundheitszustand (z.b. Allergien) und Behinderungen haben, um das Kind umfangreich versorgen und Gefahren für Leib und Leben abwenden zu können. Greifen diese Rechtsgrundlagen nicht, ist eine Einwilligung einzuholen. Der Anwender wird im [Datenschutzhinweisblatt mit dem oben aufgeführten Satz sensibilisiert. Vermerke und Freitextfelder Vermerke sind erforderlich, um bei Bedarf Zusatzinformationen über einen Teilnehmer eintragen zu können, welche nicht über fest formatierte Felder zu tätigen sind, aber dennoch im Rahmen einer ganzheitlichen Fallbearbeitung benötigt werden. Auch hier unterstützen das abstufbare Berechtigungskonzept, die Anonymisierungsfunktion sowie die Dokumentation [Hinweise_Freitextfelder] den zulässigen Umgang mit Daten. Personal- bzw. Beschäftigtendaten Die Verarbeitung von Daten der Beschäftigten bzw. des Personals erfolgt gemäß 32 BDSG bzw. i.v.m. 11 Abs. 1 Nr. 2 und Nr. 3 LDSG S-H zur Durchführung des Arbeitsverhältnisses und der vertraglich zu erbringenden Leistungen. Die Verarbeitung der Logdaten ist ebenfalls zulässig. Sie beruht auf der ordnungsgemäßen Erfüllung der Auftragsdatenverarbeitung durch die ergovia GmbH und stützt sich damit auf eine vertragliche Grundlage Zweckbindung, Trennungsgebot Die mittels stepnova verarbeiteten Daten werden nicht für andere Zwecke als für die berufliche Bildung und Maßnahmeabwicklung bzw. für die Organisation von Kindertagesstätten im Rahmen der gesetzlichen Vorgaben eingesetzt. Auch hier unterstützen das abstufbare Berechtigungskonzept, die Anonymisierungsfunktion sowie das Dokument [Hinweise_Freitextfelder] den zweckgebundenen Umgang. Das Trennungsgebot ist in vollem Umfang sichergestellt, da personenbezogene Daten ausschließlich vom Anwender für die ihm obliegenden Zwecke verarbeitet werden. Lizenzen und Datenbanken pro Anwender sind systemseitig getrennt Mandanten sind anhand der ID des Kundendatensatzes als Attribut an jedem Datensatz getrennt. Daten, die allen Mandanten zur Verfügung gestellt werden und für die Mandanten unveränderbar sind (z.b. Nationen und Berufe) werden mit der KundenID 0 gespeichert, wobei die 0 nicht Teil des ID-Generators ist Auftragsdatenverarbeitung Die ergovia GmbH führt Datenverarbeitung im Auftrag gemäß 80 SGB X, 11 BDSG bzw. 17 LDSG S-H durch. Die ergovia GmbH hält für Anwender als Muster einen Lizenzvertrag zur Verfügung, welcher einheitliche Regelungen zur Auftragsdatenverarbeitung enthält. Seite 15

16 Es sind keine Anhaltspunkte dafür ersichtlich, dass eine Auftragsdatenverarbeitung für Anwender von stepnova unzulässig sein könnte. Nach 80 Abs. 5 SGB X ist die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nichtöffentliche Stellen allerdings nur zulässig, wenn beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfasst. Das Vorliegen dieser Voraussetzungen kann aber nur durch den Anwender selbst geprüft und umgesetzt werden. Im [Datenschutzhinweisblatt] wird auf die Auftragsdatenverarbeitung und die sozialrechtlichen Bestimmungen hingewiesen. Die Kontrolle der Auftragsdatenverarbeitung wird unterstützt durch die Beschreibung technisch-organisatorischer Maßnahmen im Vertragswerk und transparente Produktbeschreibungen. Auch die von der ergovia GmbH eingesetzten Subunternehmer sind vertraglich gemäß 80 Abs. 2 SGB X, 11 BDSG und 17 LDSG S-H auf die Einhaltung des Datenschutzes im Rahmen der Auftragsdatenverarbeitung verpflichtet worden und werden regelmäßig kontrolliert Authentizität, Integrität und Vertraulichkeit Zugang zu personenbezogenen Daten im Rahmen von Wartungsarbeiten hat ausschließlich die ergovia GmbH. Die Dienstleister MARE System und NetUSE AG haben diesen nicht. Dennoch sind auch hier wirksame Maßnahmen etabliert, um einen unbefugten Zugang zu den Systemen von stepnova zu verhindern. Berechtigungen sind sehr restriktiv vergeben, so dass die Anzahl der Mitarbeiter mit Berechtigungen für die Systeme auf das Notwendige begrenzt wird. Hervorzuheben ist, dass zwischen der ergovia GmbH und der NetUSE AG vertraglich eine Mindestlänge der Passwörter von 10 Stellen verbindlich geregelt ist. Diese Passwörter der berechtigten Mitarbeiter der NetUSE AG werden in einem elektronischen PasswortSafe hinterlegt. Zugriff auf den PasswortSafe ist nur über verschlüsselte Protokolle möglich und ist ebenfalls gesichert. Zugriffe durch Ergovia werden revisionssicher gespeichert. Zugriffe erfolgen stets über eine SSH-Verbindung über den Jumpserver. Die Dienstleister MARE System und NetUSE AG haben ausschließlich Zugriff auf die Loadbalancer und die Tomcat-Server. Zugriff auf die Datenbankserver hat ausschließlich ergovia. Fernzugriffe zu Wartungszwecken werden einmalig eingeräumt und auf Server beschränkt, auf denen Wartungs- bzw. Reparaturarbeiten ausgeführt werden müssen, welche die ergovia GmbH nicht selbst durchführen kann. Die ergovia GmbH bekommt nach Abschluss der Arbeiten ein Tätigkeitsprotokoll. Der Wartungsvorgang kann durch die ergovia GmbH jederzeit abgebrochen werden. Die für die Fernwartung verwendeten NetUSE AG-Notebooks sind mit einer Festplattenverschlüsselung versehen. Der Fernzugriff erfolgt mittels verschlüsselter Verbindungen (IPsec-VPN, SSL-VPN, SSH) in das Intranet des NetUSE AG und von dort per SSH auf den Jumpserver. Seite 16

17 stepnova wird mit einem angelegten Benutzer, dem Anwender-Administrator ausgeliefert. Das Initialpasswort dieses Benutzers wird von der ergovia GmbH erzeugt und per dem Anwender mitgeteilt. Diese enthält weder den Benutzernamen noch die Kundennummer. Das Initialpasswort muss nach dem ersten erfolgreichen Login geändert werden. Benutzer müssen sich am Web-Portal mit drei Werten authentisieren: Seite Kundennummer --- Benutzername und --- Passwort Dabei ist die Kundennummer ein numerischer, 6-10-stelliger von der ergovia GmbH vergebener Wert, der Benutzername ein vom Benutzer frei wählbarer Name und das auswählbare Passwort muss ein mindestens 8-Stelliges Kennwort mit Sonderzeichen, Zahlen, Klein- und Großschreibung sein. Es besteht keine Passworthistorie. Bei der Kennwortänderung kann das aktuell verwendete Kennwort jedoch nicht erneut verwendet werden. Der Anwenderadministrator kann in den Optionen eine Gültigkeitsdauer für Kennworte festlegen. Im Auslieferungszustand steht diese Option auf halbjährlich. Bei Erreichen des Gültigkeitsendes des Kennworts wird der Anwender zur Änderung des Kennworts gezwungen, in dem jeder Link auf die Kennwort ändern -Seite leitet. Ferner hat der Benutzer die Möglichkeit im Hauptmenü sein Passwort zu ändern, sofern er nicht die LDAP-Funktion nutzt. Hierzu muss der Benutzer sein altes Kennwort eingeben und zweimal das neue. Es muss mindestens 8 Stellen lang sein. Dabei wird dem Benutzer während der Eingabe die Qualität seines Kennwortes angezeigt. Es wird weiterhin technisch verhindert, dass dasselbe Passwort wiederverwendet wird. Die relativ niedrige Mindestkennwortlänge ist in Hinblick auf die Zielgruppe gewählt worden. Durch die Anzeige wird der Benutzer aber deutlich darauf hingewiesen, wenn er sich bewusst für ein schwaches Kennwort entscheidet, so dass aus Sicht der Auditoren die Umsetzung noch als angemessen bewertet werden kann. Alternativ ist zudem über die Nutzung des LDAP-Moduls möglich, dass der Anwender sich gegenüber stepnova mit Domänen-Namen und Passwort anmeldet. In diesem Fall ist die Qualität des Passwortes in der Verantwortung des Anwenders. Falls der LDAP-Server nicht erreichbar ist, bietet stepnova als Fallback an, die Passwörter genauso wie die übrigen Passwörter verschlüsselt (SHA MD5 - Kennwort im Klartext + Salt) zu speichern, so dass die Anmeldung an das System gewährleistet bleibt. Die Schnittstellen von stepnova nutzen stets verschlüsselte Protokolle. Für das Webportal werden Zertifikate mit RSA-2048 verwendet, wodurch die Authentizität, Integrität und die Vertraulichkeit der übertragenen Daten gewährleistet wird. Der Webserver unterstützt bereits TLS 1.2 mit ECDHE und AES-128, so dass bei Unterstützung durch den Browser eine SSL-Variante genutzt werden kann, die nicht anfällig ist gegen die derzeit bekannten Schwachstellen von SSL. Die Backups der Datenbanken werden mit gpg verschlüsselt. Hierbei wird ein hybrides Verfahren aus Elgamal-2048 und AES-256 verwendet. Der private key liegt im Passworttresor der Technikabteilung der ergovia GmbH und ist somit nur durch

18 diese zugreifbar. Der public key wird für die Verschlüsselung per Skript im Zuge des Backups verwendet und liegt auf den Datenbankservern. Administratoren melden sich per SSH mit Zertifikats-Authentisierung (RSA-2048 bit) am Jumpserver an. Dieser authentisiert sich gegenüber den Systemen wiederum mit eigenen SSH-Zertifikaten. Die Nutzung von LDAP durch den Anwender wird über einen VPN-Tunnel angeboten, über den die Vertraulichkeit gewährleistet wird Verfügbarkeit Die stepnova-server werden im Rechenzentrum der NetUSE AG in Kiel betrieben, welches regelmäßig auf der Grundlage von 109 TKG von der Bundesnetzagentur auditiert wird. Die NetUSE AG übernimmt den Schutz des Webservers durch Administration und Kontrolle des Firewall. Die Hardware und Einsatzumgebung ist auf hohe Zuverlässigkeit und Minimalisierung von Ausfällen ausgerichtet (z.b. durch den Einsatz von Loadbalancern). Zudem ermöglicht der modulare Aufbau der Server die Skalierbarkeit und Verfügbarkeit auch bei ansteigender Systemnutzung. Die Verfügbarkeit der Daten gewährleistet ein Backupkonzept. Die Backups werden verschlüsselt gespeichert Vorabkontrolle, Verfahrensverzeichnis, Datenschutzbeauftragter Die ergovia GmbH unterstützt den Anwender auf Anfrage bei der Vorabkontrolle sowie bei der Erstellung eines Verfahrensverzeichnisses. Im Lizenzvertrag sind Kontrollen und die Beteiligung des Datenschutzbeauftragten explizit vorgesehen. Anwender können sich im Hinblick auf Fragen zur Umsetzung von Datenschutz und Datensicherheit bei stepnova an die ergovia GmbH direkt richten und erhalten fachkundige Auskünfte Pflichten nach DSVO Die ergovia GmbH bietet für den Anwender transparente Dokumentationen zum Produkt sowie zur Umsetzung der Datensicherheit und des Datenschutzes, aus denen wesentliche Informationen für eigene Dokumentationspflichten gemäß DSVO entnommen werden können. Zudem stellt die ergovia GmbH jederzeit fachlich geeignete Ansprechpartner für die Anleitung des Anwenders zur Verfügung Datenschutzrechte der Betroffenen Die Rechte der Betroffenen auf Information, Auskunft, Benachrichtigung, Berichtigung falscher Angaben, Löschung und Sperrung sowie auf Widerspruch werden durch stepnova auf vielfältige Weise gefördert, etwa indem Datenverarbeitungsvorgänge und Verantwortlichkeiten verständlich beschrieben sind. Die zu einem Teilnehmer erhobenen Daten können durch Ausdrucke dem Betroffenen zugänglich gemacht werden. Damit unterstützt stepnova das in 33 BDSG, 27 LDSG SH und 83 SGB X geregelte Auskunftsrecht. Berichtigung und Löschung von Daten können durch den berechtigten Anwender manuell erfolgen. Im Übrigen werden Teilnehmerdaten anhand definierter Fristen (i.d.r. 24 Monate) gelöscht. Dies entspricht den Anforderungen der Bundesagentur Seite 18

19 für Arbeit, welche in den Vertragsbedingungen und verbindlichen Leistungsbeschreibungen Fristen vorgeben. stepnova verfügt zudem über systemseitige Möglichkeit von Vermerken in einer anklickbaren Checkbox über das Vorliegen einer Einwilligung für Datenübermittlungen im Rahmen von Dadurch können Einwilligungen und Widersprüche jederzeit nachvollzogen werden Gesamtbewertung im Überblick Für stepnova, Version 4, ergibt sich danach folgende Gesamtbewertung: Nr. Anforderungsprofil Bewertung / Kommentar Datenart A (Primärdaten): A1 Datensparsamkeit Angemessen A2 Löschen, Anonymisieren, Pseudonymisieren Angemessen A3 Transparenz Angemessen A4 Sonstige Anforderungen Angemessen A5 Zulässigkeit Angemessen A6 Datenschutzgrundsätze Angemessen A7 Auftragsdatenverarbeitung Angemessen A8 Besondere technischer Verfahren Nicht anwendbar A9 Sonstige Anforderungen Angemessen A10 Zutritts- und Zugangskontrolle Angemessen A11 Zugriffskontrolle Vorbildlich A12 Protokollierung Angemessen A13 A14 Weitere technisch-organisatorische Maßnahmen Vorabkontrolle, Verfahrensverzeichnisses Datenschutzbeauftragter Vorbildlich Angemessen A15 Spezifische Pflichten Nicht anwendbar A16 Pflichten nach DSVO Angemessen A17 Sonstige spezifische Anforderungen Nicht anwendbar A18 Betroffenenrechte Angemessen A19 Sonstige Anforderungen Angemessen Datenart B (Sekundärdaten): B1 Datensparsamkeit Angemessen B2 Löschen, Anonymisieren, Pseudonymisieren Angemessen Seite 19

20 B3 Transparenz Angemessen B4 Sonstige Anforderungen Nicht anwendbar B5 Zulässigkeit Angemessen B6 Datenschutzgrundsätze Angemessen B7 Auftragsdatenverarbeitung Angemessen B8 Besondere technischer Verfahren Nicht anwendbar B9 Sonstige Anforderungen Nicht anwendbar B10 Zutritts- und Zugangskontrolle Angemessen B11 Zugriffskontrolle Vorbildlich B12 Protokollierung Nicht anwendbar B13 B14 Weitere technisch-organisatorische Maßnahmen Vorabkontrolle, Verfahrensverzeichnisses Datenschutzbeauftragter Nicht anwendbar Angemessen B15 Spezifische Pflichten Nicht anwendbar B16 Pflichten nach DSVO Angemessen B17 Sonstige spezifische Anforderungen Nicht anwendbar B18 Betroffenenrechte Angemessen B19 Sonstige Anforderungen Nicht anwendbar Förderung des Datenschutzes: Das IT-Produkt fördert den Datenschutz insgesamt auf angemessene Weise 12. Beschreibung, wie das IT-Produkt den Datenschutz fördert Das IT-Produkt fördert den Datenschutz auf vielfältige Weise: --- Differenziertes Rollen-und Berechtigungskonzept. --- Hohe Zugriffssicherheit durchkomplexe Passwörter --- Hohe Sicherheit durch Unterstützung von TLS 1.2 für den Zugang über das WepPortal. Seite 20

Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz

Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz Kurzfassung der Begutachtung zur Rezertifizierung der Firewall Dataport am Standort Altenholz datenschutz nord GmbH, August 2006 1. Zeitpunkt der Prüfung Die Begutachtung zur Rezertifizierung der Firewall

Mehr

im Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh

im Auftrag der Sachsen DV Betriebs- und Servicegesellschaft mbh Gutachten zur Erteilung eines Gütesiegels gemäß Datenschutzauditverordnung Schleswig-Holstein (Re-Zertifizierung) für das IT-Produkt BackStor Datensicherung, Version 1.2 im Auftrag der Sachsen DV Betriebs-

Mehr

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für ProCampaign 2.0. im Auftrag der Consultix GmbH

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für ProCampaign 2.0. im Auftrag der Consultix GmbH Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für ProCampaign 2.0 im Auftrag der Consultix GmbH datenschutz cert GmbH 13.03.2012 Inhaltsverzeichnis 1. Über die Auditierung von ProCampaign

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das Produkt Galileo. im Auftrag der NoemaLife GmbH

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das Produkt Galileo. im Auftrag der NoemaLife GmbH Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für das Produkt Galileo im Auftrag der NoemaLife GmbH datenschutz cert GmbH 14. Oktober 2008 Inhaltsverzeichnis Kurzgutachten zur Erteilung eines

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für Codira PACS 9.1. im Auftrag der Codira GmbH

Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für Codira PACS 9.1. im Auftrag der Codira GmbH Kurzgutachten zur Erteilung eines Datenschutz- Gütesiegels für Codira PACS 9.1 im Auftrag der Codira GmbH datenschutz cert GmbH 11.05.2012 Inhaltsverzeichnis 1. Über die Auditierung von Codira PACS 9.1

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Name : Hochschule für angewandte Wissenschaften München

Name : Hochschule für angewandte Wissenschaften München 1 Verantwortliche Stelle Name : Hochschule für angewandte Wissenschaften München Straße : Lothstraße 34 Postleitzahl : 80335 Ort : München Telefon* : 089 1265-1405 Telefax* : 089 1265-1949 Mail* : annette.hohmann@hm.edu

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße

Mehr

Kurzgutachten Zeitpunkt der Prüfung September 2003 bis August 2004. Adresse des Antragstellers CC e-gov GmbH Winterhuder Weg 27 22085 Hamburg

Kurzgutachten Zeitpunkt der Prüfung September 2003 bis August 2004. Adresse des Antragstellers CC e-gov GmbH Winterhuder Weg 27 22085 Hamburg Kurzgutachten Zeitpunkt der Prüfung September 2003 bis August 2004 Adresse des Antragstellers CC e-gov GmbH Winterhuder Weg 27 22085 Hamburg Adressen des/der Sachverständigen Sachverständiger für IT-Produkte

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Datenschutzerklärung für RENA Internet-Auftritt

Datenschutzerklärung für RENA Internet-Auftritt Datenschutzerklärung für RENA Internet-Auftritt Vielen Dank für Ihr Interesse an unserem Internetauftritt und unserem Unternehmen. Wir legen großen Wert auf den Schutz Ihrer Daten und die Wahrung Ihrer

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Technisches und rechtliches Rezertifizierungs-Gutachten

Technisches und rechtliches Rezertifizierungs-Gutachten Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.9 der GfOP Neumann & Partner mbh Zum Weiher 25 27 14552 Wildenbruch

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz Kurzgutachten zum Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz für die Telekom Deutschland GmbH D-53262 Bonn Sachverständige Prüfstelle (Recht und Technik): intersoft

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG)

Mehr

Maßnahmebeschreibung DIA-AM

Maßnahmebeschreibung DIA-AM Maßnahmebeschreibung DIA-AM Bezeichnung: em@w: Zielgruppe: DIA-AM - Diagnose der Arbeitsmarktfähigkeit 33 Abs. 4 SGB IX Teilnehmer aus Rechtskreis SGB III (Zuweisung durch Agentur für Arbeit): ja Teilnehmer

Mehr

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung Verband Bildung und Erziehung Landesbezirk Südbanden Datenschutz, Sorgerecht und Schulanmeldung Neue VwV Datenschutz I. Allgemeines Zulässigkeit der Datenverarbeitung Datenerhebung... Datenlöschung und

Mehr

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben.

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben. Ihr Datenschutz ist unser Anliegen Wir freuen uns über Ihr Interesse an unserem Unternehmen und unseren Produkten bzw. Dienstleistungen und möchten, dass Sie sich beim Besuch unserer Internetseiten auch

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Datenschutzerklärung Ihre Daten sind bei uns sicher

Datenschutzerklärung Ihre Daten sind bei uns sicher Datenschutzerklärung für die Angebote des GSI SLV- Fachkräftezentrums Datenschutzerklärung Ihre Daten sind bei uns sicher Datenschutz ist Vertrauenssache und Ihr Vertrauen ist uns wichtig. Wir respektieren

Mehr

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen)

Daten, die Sie uns geben (Geschäftsbeziehung, Anfragen, Nutzung eine unsere Dienstleistungen) Datenschutzerklärung der Etacs GmbH Die Etacs GmbH wird den Anforderungen des Bundesdatenschutzgesetzes (BDSG) gerecht.personenbezogene Daten, d.h Angaben, mittels derer eine natürliche Person unmittelbar

Mehr

amtliche bekanntmachung

amtliche bekanntmachung Nr. 908 13. März 2012 amtliche bekanntmachung Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität Bochum (RUBiKS) vom 16. Januar 2012 Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität

Mehr

Datenschutzerklärung. 1. Allgemeine Hinweise

Datenschutzerklärung. 1. Allgemeine Hinweise Datenschutzerklärung Wir freuen uns über Ihr Interesse an unserem Online-Angebot. Der Schutz Ihrer Privatsphäre ist für uns sehr wichtig. Wir legen großen Wert auf den Schutz Ihrer personenbezogenen Daten

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Erhebung, Verarbeitung und Nutzung Ihrer Daten bei Besuch der Website und Nutzung der Angebote

Erhebung, Verarbeitung und Nutzung Ihrer Daten bei Besuch der Website und Nutzung der Angebote Datenschutzerklärung Stand: Juli 2015 Vorbemerkungen Die Bausparkasse Schwäbisch Hall AG, Crailsheimer Str. 52, 74523 Schwäbisch Hall, Deutschland (nachfolgend Veranstalter ), eingetragen im Handelsregister

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

E-Mail-Seminar: Datenschutz an Schulen

E-Mail-Seminar: Datenschutz an Schulen E-Mail-Seminar: Datenschutz an Schulen Autorin: Veronika Höller Lektion 3: Datenübermittlung/-austausch In dieser Lektion erfahren Sie alles über das Thema Datenübermittlung und -austausch. Es werden u.

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Kurzgutachten zur Re-Zertifizierung der Dataport Firewall Altenholz. im Auftrag von Dataport

Kurzgutachten zur Re-Zertifizierung der Dataport Firewall Altenholz. im Auftrag von Dataport Kurzgutachten zur Re-Zertifizierung der Dataport Firewall Altenholz im Auftrag von Dataport datenschutz cert GmbH Januar 2014 Inhaltsverzeichnis Kurzgutachten zur Re-Zertifizierung der Dataport Firewall

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Datenschutzbestimmungen in kirchlichen Einrichtungen. Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster

Datenschutzbestimmungen in kirchlichen Einrichtungen. Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster Wozu brauchen wir Datenschutzbestimmungen? Risiken der Informationsgesellschaft Information at your fingertips

Mehr

Datenschutzerklärung

Datenschutzerklärung Datenschutzerklärung Stand: 25. November 2014 Wir verfahren bei allen Vorgängen der Datenverarbeitung, insbesondere bei Vorgängen über unsere Websites www.mylittlejob.de und www.talerio.com (im Folgenden:

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz

Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Verfahrensverzeichnis nach 4g Bundesdatenschutzgesetz (BDSG) zum Verfahrensregister bei dem/der betrieblichen Beauftragten für den Datenschutz Hauptblatt Zu den Ziff. - beachten Sie bitte die Ausfüllhinweise.

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.

Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2. Technisches und rechtliches Rezertifizierungs-Gutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt KOMMBOSS Version 2.9 der GfOP Neumann & Partner mbh Zum Weiher 25 27 14552 Wildenbruch

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Datenschutzhinweis - SCHIESSER Online Shops

Datenschutzhinweis - SCHIESSER Online Shops Datenschutzhinweis - SCHIESSER Online Shops Wir freuen uns über Ihr Interesse an unserem Online Shop, SCHIESSER Online Shop und unserem Unternehmen, der SCHIESSER AG (www.schiesser.com). Wir möchten, dass

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Datenschutzerklärung von SL-Software

Datenschutzerklärung von SL-Software Datenschutzerklärung von SL-Software Software und Büroservice Christine Schremmer, Inhaberin Christine Schremmer, Odenwaldring 13, 63500 Seligenstadt (nachfolgend SL-Software bzw. Wir genannt) ist als

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Verfahrensverzeichnis gemäß 7 LDSG Stand: 21.10.2013

Verfahrensverzeichnis gemäß 7 LDSG Stand: 21.10.2013 Verfahrensverzeichnis gemäß 7 LDSG Stand: 21.10.2013 I. Verfahren (Bezeichnung): IServ-Portalserver Aktenzeichen: neues Verfahren Änderung Das Verfahren ist zur Einsichtnahme bestimmt ( 7 Abs. 4 LDSG)

Mehr

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Stand: 20.12.2007 Inhaltsverzeichnis Vorbemerkung Ziff. 1 Ziff. 2 Ziff.

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

V 1.3. Stand: 15.09.2014

V 1.3. Stand: 15.09.2014 Datenschutz der V 1.3 Stand: 15.09.2014 Seite 1 von 5 Datenschutz der Präambel Personal-Planer.de verpflichtet sich, Ihre Privatsphäre und Ihre persönlichen Daten zu schützen. Ihre personenbezogenen Daten

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Verfahrensprozesse zum Verfahrensverzeichnis der Excellent Ad GmbH. a) Datenerhebung und Adressgenerierung über eigene Webseiten

Verfahrensprozesse zum Verfahrensverzeichnis der Excellent Ad GmbH. a) Datenerhebung und Adressgenerierung über eigene Webseiten Verfahrensprozesse zum Verfahrensverzeichnis der Excellent Ad GmbH 1. Excellent AD GmbH, Reimersbrücke 5, 20457 Hamburg 2. Verfahrensbezeichnung und Zweckbestimmung a) Datenerhebung und Adressgenerierung

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Corporate Privacy Management Group

Corporate Privacy Management Group CRM datenschutzkonform einsetzen Goldene Regeln für die Praxis Flughafen Münster/Osnabrück, 18. Juni 2009 1 Ihre Pilotin Judith Halama Datenschutzberaterin Externe Datenschutzbeauftragte Rechtsanwältin

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Datenschutzerklärung

Datenschutzerklärung Konstanz, 28.04.2015 Datenschutzerklärung Ihr Datenschutz ist unser Anliegen. Wir freuen uns über Ihr Interesse an unserem Unternehmen und unseren Produkten bzw. Dienstleistungen und möchten, dass Sie

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

Erstellung eines Verfahrensverzeichnisses aus QSEC

Erstellung eines Verfahrensverzeichnisses aus QSEC Erstellung eines Verfahrensverzeichnisses aus QSEC Im QSEC-Reporting-Modul steht ab der Version 4.2 ein neuer Bericht zur Verfügung. Es besteht nun die Möglichkeit, einen BDSG-konformen Datenschutzbericht

Mehr

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4 Datenschutz im Unternehmen Inhalt 1. Gesetzliche Grundlagen (Begriffsbestimmung) 2. Technisch-Organisatorische Maßnahmen 3. Pressespiegel 4. Praktische Umsetzung der Vorgaben im Betrieb 5. Datenschutz

Mehr

Datenschutzerklärung

Datenschutzerklärung Datenschutzerklärung Mr. & Mrs. Dog Stand: 13.03.2015 Mr. & Mrs. Dog (IOS KG) nimmt den Schutz Ihrer persönlichen Daten sehr ernst. Ihr Vertrauen und Ihre Sicherheit stehen für uns an oberster Stelle.

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Verfahrensverzeichnis für Jedermann

Verfahrensverzeichnis für Jedermann Verfahrensverzeichnis für Jedermann Organisationen, die personenbezogene Daten verwenden, müssen den Betroffenen auf Wunsch den Umgang mit deren Daten transparent darlegen. Diese Darstellung erfolgt in

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 9. 13. März 2015, Berlin 14. 18. September 2015, Köln Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Monitoring und Datenschutz

Monitoring und Datenschutz Zentrum für Informationsdienste und Hochleistungsrechnen Monitoring und Datenschutz Dresden, 27.Mai 2008 Bundesrepublik Deutschland Grundrecht auf informationelle Selbstbestimmung: Der Betroffene kann

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

Hilft die Technik? Schützt uns das Gesetz? Vorschläge aus Schleswig-Holstein am Beispiel facebook

Hilft die Technik? Schützt uns das Gesetz? Vorschläge aus Schleswig-Holstein am Beispiel facebook Hilft die Technik? Schützt uns das Gesetz? Vorschläge aus Schleswig-Holstein am Beispiel facebook Henry Krasemann Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Die 7 Säulen des ULD Prüfung

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

M i t t e i l u n g s b l a t t. Der Rektor der Kunsthochschule Berlin (Weißensee) 8. März 2011 Bühringstraße 20, 13086 Berlin

M i t t e i l u n g s b l a t t. Der Rektor der Kunsthochschule Berlin (Weißensee) 8. März 2011 Bühringstraße 20, 13086 Berlin K u n s t h o c h s c h u l e B e r l i n ( W e i ß e n s e e ) K H B Hochschule für Gestaltung M i t t e i l u n g s b l a t t Herausgeber: Nr. 170 Der Rektor der Kunsthochschule Berlin (Weißensee) 8.

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis?

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? AnleiterInnentag 13.11.2014 Prof. Patjens www.dhbw-stuttgart.de Datenschutz Darf ich Sozialdaten weitergeben? Schweigepflicht

Mehr

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik Vortrag im Seminar Designing for Privacy (Theorie und Praxis datenschutzfördernder Technik) Benjamin Kees

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Schwachstellen im Datenschutz wo drückt der Schuh?

Schwachstellen im Datenschutz wo drückt der Schuh? Schwachstellen im Datenschutz wo drückt der Schuh? Dr. Thilo Weichert Landesbeauftragter für Datenschutz Schleswig-Holstein Telekom Training 11. November 2009 ArabellaSheraton Congress Hotel Stichworte

Mehr